تضيف التحديات المصرفية: PSD2 تعني قواعد جديدة لمشاركة البيانات

نشرت: 2018-04-13

لا شك أن العديد منكم قد سمعوا عن توجيه الهيئة المصرفية الأوروبية في الاتحاد الأوروبي (أو EBA) المسمى PSD2 (اختصار لتوجيه خدمات الدفع). نُشرت هذه الإرشادات في الأصل في نهاية عام 2015. وبحلول يناير 2018 ، طُلب من جميع الدول الأعضاء تنفيذ اللوائح.

تواجه الصناعة المصرفية العديد من التحديات إذا لم تكن تفكر بالفعل في مستقبل رقمي للغاية.

فهم المصادقة القوية للعملاء لملف PSD2 الخاص بالاتحاد الأوروبي

تشمل الأغراض الرئيسية لـ PSD2 ما يلي:

  1. فتح فرص جديدة في السوق لمجموعة متنوعة من اللاعبين مثل التجار عبر الإنترنت ، مع تسوية الملعب لجميع أصحاب المصلحة الرئيسيين
  2. توفير الشفافية للمستهلك واختياره
  3. تقديم ممارسات أمنية جديدة وأكثر قوة للدفعات الجديدة عبر الإنترنت

يوجد عدد من الإرشادات بشكل عام لـ PSD2 ؛ ومع ذلك ، يمكن تنزيل أحد إرشادات PSD2 الأفضل من MEF (منتدى النظام البيئي للجوال).

مصادقة العميل القوية

أحد العناصر الرئيسية للوائح PSD2 هو مفهوم المصادقة القوية للعملاء (أو SCA). يلاحظ EBA: "بفضل PSD2 ، ستتمتع المستهلكين بحماية أفضل عند إجراء مدفوعات أو معاملات إلكترونية (مثل استخدام خدماتهم المصرفية عبر الإنترنت أو الشراء عبر الإنترنت).

يجعل المعيار الفني التنظيمي (RTS) المصادقة القوية للعملاء (SCA) أساسًا للوصول إلى حساب الدفع الخاص بالفرد ، وكذلك لإجراء المدفوعات عبر الإنترنت ". باختصار ، تتطلب SCA ، على الأقل ، المصادقة الثنائية (2FA).

تعني المصادقة ذات العاملين أنه سيتعين على المستخدمين "إثبات" هويتهم من خلال عنصرين منفصلين من ثلاثة:

  1. شيء يعرفونه (رمز PIN أو كلمة مرور)
  2. شيء يمتلكونه (جهاز محمول ، بطاقة)
  3. شيء ما هم (بصمات الأصابع ، مسح الوجه: على سبيل المثال القياسات الحيوية)

يلاحظ EBA أن SCA تستخدم بشكل شائع في جميع أنحاء الاتحاد الأوروبي ؛ ومع ذلك ، ليس هذا هو الحال دائمًا بالنسبة لمعاملات الدفع عبر الإنترنت مثل الدفع ببطاقة الائتمان أو التحويل المصرفي المباشر. يتم تطبيق SCA في دول الاتحاد الأوروبي مثل بلجيكا وهولندا والسويد) ؛ ومع ذلك ، في دول الاتحاد الأوروبي الأخرى ، يتم تطبيق SCA فقط على أساس طوعي ، وفقًا لبيان صحفي ممتاز من المفوضية الأوروبية.

بينما كان من المقرر أن تنفذ الدول الأعضاء في الاتحاد الأوروبي PSD2 بحلول يناير 2018 ، ستصبح SCA إلزامية بعد 18 شهرًا بعد المعيار الفني التنظيمي لـ EBA (RTS) بعد تاريخ دخول RTS حيز التنفيذ (والذي من المتوقع أن يكون في وقت لاحق من هذا العام) . لذلك ، في جوهرها ، نحن ننظر في منتصف 2019 إلى أواخره (سبتمبر 2019 كان أحد هذه التواريخ التي نقلتها بعض الوثائق). سيتيح ذلك لجميع أصحاب المصلحة وقتًا كافيًا لدمج SCA ومتطلبات الأمان الأخرى في أنظمتهم وسير العمل.

الخدمات المصرفية للأفراد: الأسود والمصرفيون والشركات المالية ، يا إلهي!

Retail_banking_fintech.jpg شركات التكنولوجيا المالية تهدد الوضع الراهن. على عكس البنوك ، فهي غير مثقلة بالإرث واللوائح ، وفي معظم الحالات ، حتى الحاجة إلى كسب المال. يحتاج المصرفيون الأفراد إلى التكيف والتركيز على علاقات العملاء للمنافسة.

2FA لـ SCA

بالنظر إلى الجدول الزمني لـ SCA ، يعد 2018 وقتًا مثاليًا للشركات لبدء تنفيذ حلول المصادقة الثنائية (2FA) لحساب الأمن المتزايد المطلوب.

لاحظت شركة المحاماة الدولية تايلور ويسينج ، في ورقتها: مصادقة قوية من العملاء بموجب PSD2 ، أن "جمعية المحاماة الأوروبية اتفقت مع غالبية المستجيبين لورقة الاستشارة ، من أجل ضمان الحياد التكنولوجي والسماح بتطوير أسلوب سهل الاستخدام ، ووسائل دفع مبتكرة يمكن الوصول إليها ، لا ينبغي أن تحدد عناصر المصادقة بشكل أكبر. " هذا يعني أن قانون EBA لا يحدد الطريقة التي يمكن بها تنفيذ 2FA. هناك مجموعة متنوعة من المخططات بما في ذلك تسليم الرموز عبر قنوات الهاتف المحمول مثل الرسائل القصيرة أو الإخطارات أو قنوات البريد الإلكتروني التقليدية ، بالإضافة إلى حلول TOTP soft token وغيرها.

تمت الإشارة إلى كل هذا ، يجب أن نشير إلى أنه ، مثل أي مخطط جيد لتنفيذ المصادقة الثنائية (2FA) ، هناك بعض القيود واللوائح المحددة والتي يجب أخذها في الاعتبار بعناية.

رموز المصادقة

يلاحظ RTS أن إنشاء رمز المصادقة يفي بالشروط التالية:

  1. لا يمكن اشتقاق أي معلومات تتعلق بالمعرفة والحيازة والميراث من الكشف عن رمز المصادقة
  2. لا يمكن إنشاء رمز مصادقة جديد بناءً على معرفة أي رمز مصادقة آخر تم إنشاؤه مسبقًا
  3. لا يمكن تزوير رمز المصادقة

بالإضافة إلى ذلك ، تنص RTS على أنه لا ينبغي محاولة أكثر من 5 محاولات مصادقة فاشلة خلال فترة بقاء الرمز وأن الحد الأقصى للوقت بدون نشاط من قبل الدافع أو المستخدم بعد المصادقة للوصول إلى حساب الدفع عبر الإنترنت يجب ألا يتجاوز 5 دقائق .

الربط الديناميكي للمعاملة

يشير RTS إلى أن المعاملات الإلكترونية عن بُعد - بشكل أساسي المدفوعات التي تتم عبر الإنترنت (سواء على جهاز سطح المكتب مثل جهاز كمبيوتر محمول أو جهاز محمول) يجب أن تتضمن عناصر "تربط المعاملة ديناميكيًا بمبلغ محدد ومدفوع لأمره محدد". يعتبر RTS هذا شكلًا إضافيًا من SCA.

بالنسبة لمطلب SCA هذا ، يجب إعادة تقديم مبلغ معاملة الدفع وكذلك الشخص الذي يدفع لأمره (أو التاجر) إلى المستخدم في وقت إجراء معاملة المصادقة الثنائية (2FA). إذا كان هناك أي تغيير في المبلغ أو المدفوع لأمره ، فيجب إنشاء رمز مصادقة آخر (على سبيل المثال "ربط ديناميكي" لهذا الرمز بالمستفيد الجديد و / أو مبلغ الدفع). قد تبدو رسالة SMS التي تحتوي على جميع المعلومات المطلوبة مثل الصورة على اليمين: رمز الحماية لمدة 10 دقائق ، واسم التاجر (أو المدفوع لأمره) ومقدار المعاملة.

ومن المثير للاهتمام ، أن رمز المصادقة الذي تم إنشاؤه بواسطة تطبيق متوافق مع TOTP تابع لجهة خارجية مثل Google Authenticator يتم إنشاؤه بشكل منفصل تمامًا عن معلومات الدفع / التاجر ، وبالتالي لا يمكن ربطه ديناميكيًا.

استقلالية القناة

هذا المطلب صعب بعض الشيء. تنص RTS على أن "مقدمي خدمات الدفع يجب أن يتبنوا تدابير أمنية ، حيث يتم استخدام أي من عناصر المصادقة القوية للعميل أو رمز المصادقة نفسه من خلال جهاز متعدد الأغراض ، للتخفيف من المخاطر التي قد تنجم عن هذا الجهاز متعدد الأغراض التعرض للخطر. " يمكن أن يكون الجهاز متعدد الأغراض عبارة عن جهاز محمول أو جهاز لوحي ، أو حتى جهاز كمبيوتر محمول.

إذا كان المستخدم يستخدم جهاز كمبيوتر محمول وطُلب منه إجراء دفعة ، فقد يرسل هذا التاجر رسالة نصية قصيرة إلى الجهاز المحمول الخاص بالمستخدم مع المدفوع لأمره (مثل التاجر) بالإضافة إلى المبلغ الذي سيدفعه ، بالإضافة إلى المصادقة رمز في نص الرسالة.

في مثال آخر ، إذا كان المستخدم يستخدم جهازًا محمولًا للتفاعل مع تاجر وبدء الدفع ، فإن استقلالية هذه القناة لا تحظر على وجه التحديد الرسائل القصيرة أو أي قناة توصيل خاصة بالهاتف المحمول. هنا ، إنه خط رفيع. في كثير من الحالات ، يكون الجهاز الوحيد الذي يمتلكه المستخدم هو جهاز متعدد الأغراض مثل الهاتف المحمول. لكن ، استقلالية القناة هي مجرد - قناة مستقلة على نفس الجهاز - الرسائل القصيرة التي تحتوي على رمز مصادقة هي قناة مختلفة (في الواقع ، إنها قناة خارج النطاق ، يتم الوصول إليها عبر رقم الهاتف المحمول) عن الهاتف المحمول التطبيق أو متصفح الويب الذي يتعامل معه المستخدم مع التاجر. تنطبق نفس استقلالية القناة على استخدام تطبيق الهاتف لإنشاء رمز متوافق مع TOTP (مثل Google Authenticator) ، ولكن كما ذكرنا سابقًا ، يفشل رمز شكوى TOTP في الارتباط الديناميكي للمعاملة.

على العكس من ذلك ، إذا كان المستخدم يستخدم تطبيقًا للجوال للوصول إلى التاجر ، فلن يكون من الممكن إرسال إشعار إلى نفس التطبيق (مع رمز المصادقة) ، لأنهما نفس القناة.

هناك من قد يقول أن 2FA عبر الرسائل القصيرة غير آمنة للغاية وفي بعض الحالات ، قد يكون ذلك صحيحًا. نعم ، كانت هناك بعض الحالات المعزولة حيث تمكن المهاجم من الوصول إلى رسائل 2FA SMS عبر SS7 على مشغل واحد ؛ ومع ذلك ، تم إغلاق العديد من هذه الثغرات الأمنية. بالإضافة إلى ذلك ، من المهم إلى حد كبير كيفية إنشاء رمز المصادقة وتقديمه للمستخدم وكيف يقوم مزود خدمة المراسلة بتسليم هذه الرموز.

في الحالات التي تكون فيها الأجهزة متعددة الأغراض منتشرة (واليوم ، هذه وستظل هي الأجهزة الأكثر انتشارًا) ، يجب أن تظل قناة المراسلة التي يوفرها مشغل الهاتف المحمول قناة قابلة للتطبيق خارج النطاق للرموز 2FA.

للحصول على تحليل أكثر تفصيلاً ، عثرت على منشور مدونة إعلامي من قبل فريدريك مينيس يوفر مزيدًا من التفاصيل حول أنواع السيناريوهات - خاصة للأجهزة متعددة الأغراض - التي يجب أن تكون متوافقة مع PSD2 SCA.

PSD2 SCA لا ينبغي أن يؤخذ على محمل الجد ، ولكن العديد من حلول 2FA المنفذة بالفعل يجب أن تعمل ؛ ومع ذلك ، نعلم أيضًا أن العديد من التجار عبر الإنترنت لم يقدموا بعد حلولًا متوافقة مع PSD2 SCA. حتى كتابة هذه السطور ، لا يزال هناك متسع من الوقت لدمج SCA في تدفقات عمل الدفع.

SAP Authentication 365 هو حل يوفر حلاً سحابيًا قائمًا على API لتمكين الشركات من تنفيذ SCA المتوافق مع PSD2. تعد خدمة SAP Authentication 365 mobile خدمة شاملة تتيح لك تنفيذ خدمة مصادقة ثنائية (2FA) متعددة القنوات بسرعة وأمان ، مع مصادقة مصممة خصيصًا لأعمالك الرقمية.

إنها تساعد في حماية هوية وبيانات عملاء مؤسستك من خلال تمكين المصادقة عبر الرسائل القصيرة أو البريد الإلكتروني أو الإخطارات أو الرموز البرمجية TOTP. تعمل REST API من SAP على تبسيط عملية إنشاء رموز التحقق أو المصادقة والمصادقة عليها وتوفر المرونة والقدرات لتمكين تنفيذ إستراتيجية SCA المتوافقة مع PSD2.